Teknisk og juridisk overføringsvurdering av AWS

Vi har foretatt en vurdering av de ulike sikkerhetsløsningene i AWS med det formål å vurdere de ulike løsningene som Sikt har valgt, og vurdere om de forhindrer en overføring ut av EU/EØS. Vi har først foretatt en gjennomgang av de ulike sikkerhetsløsningene som Sikt bruker i AWS som vi anser som relevante for vurderingen. Vi har deretter redegjort for vår vurdering av de tekniske tiltakene og foretar deretter en vurdering av de juridiske følgene av de tekniske tiltakene. I punktet om de juridiske følgene gjennomgår vi en stegvis vurdering av hvorvidt det faktisk foregår en overføring ut av EU/EØS.

Sikt har tatt i bruk en lang rekke av sikkerhetstiltakene som AWS tilbyr for å kunne sikre at AWS sine ansatte ikke har tilgang til Sikt sine data/personopplysninger.

All data, herunder personopplysninger som Sikt importerer til AWS sin skyløsning krypteres ved hjelp av krypteringsløsningen som AWS leverer.

Sikt benytter seg av Nitro-systemet.

AWS Nitro

Det følgende er hentet fra AWS sine nettsider (se lenker):

| «The AWS Nitro System is a combination of purpose-built server designs, data processors, system management components, and specialized firmware which provide the underlying platform for all Amazon EC2 instances launched since the beginning of 2018.»

Nitro-systemet består av tre hovedkomponenter:

• Nitro Cards
• Nitro Security Chip
• Nitro Hypervisor

AWS Nitro System er en infrastrukturteknologi som Amazon Web Services (AWS) har utviklet for å forbedre ytelse, sikkerhet og fleksibilitet i deres skybaserte tjenester. Nitro System er designet for å avlaste virtualiseringshåndteringen fra hoved-CPU-en til EC2 (Elastic Compute Cloud) virtuelle maskiner, noe som gir bedre ytelse og sikkerhet. Her er noen av hovedtrekkene ved AWS Nitro System:

• Avlasting av Virtualisering: Nitro System avlaster virtualiseringstjenestene fra hoved-CPU-en til EC2-instansene, noe som reduserer overhead og gir bedre ytelse for arbeidsbelastninger.
• Sikkerhet: Nitro System inkluderer dedikerte maskiner og komponenter for sikkerhetshåndtering, inkludert hardwareakselerert kryptografi, som bidrar til å beskytte EC2-instanser mot potensielle trusler.
• Fleksibilitet: Ved å avlaste virtualiseringen på hoved-CPU-en gir Nitro System AWS muligheten til å tilby en rekke forskjellige EC2-instansfamilier med ulike kombinasjoner av CPU, minne, lagring og nettverk, slik at brukere kan velge den som passer best for deres spesifikke behov.
• Bedre ytelse: Ved å optimalisere infrastrukturen for virtualisering og sikkerhet, tillater Nitro System raskere oppstart og kjøring av EC2-instanser, noe som gir bedre ytelse for arbeidsbelastninger.

Vedrørende Nitro system uttaler AWS følgende : ”By design the Nitro System has no operator access. There is no mechanism for any system or person to log in to EC2 Nitro hosts, access the memory of EC2 instances, or access any customer data stored on local encrypted instance storage or remote encrypted EBS volumes. If any AWS operator, including those with the highest privileges, needs to do maintenance work on an EC2 server, they can only use a limited set of authenticated, authorized, logged, and audited administrative APIs. None of these APIs provide an operator the ability to access customer data on the EC2 server. Because these are designed and tested technical restrictions built into the Nitro System itself, no AWS operator can bypass these controls and protections.

• No AWS operator access - The Security Design of the AWS Nitro System (amazon.com)

AWS Key Management Service:

Sikt benytter AWS KMS. Amazon Web Services (AWS) Key Management Service (KMS) er en administrert tjeneste som gir krypteringsnøkler og gir kunden kontroll over bruk av disse nøklene for å sikre data og ressurser i AWS.

Her er noen viktige aspekter ved AWS KMS:

• Administrasjon av krypteringsnøkler: AWS KMS lar kunden opprette, importere og administrere krypteringsnøkler som brukes til å kryptere og dekryptere data. Disse nøklene kan brukes til å beskytte sensitive data, inkludert lagrede filer, databaseposter og meldinger i tjenester som Amazon S3, Amazon RDS, og Amazon SNS.
• Integrert med andre AWS-tjenester: KMS er tett integrert med andre AWS-tjenester, slik at man kan bruke krypteringsnøkler til å beskytte data i ulike AWS-tjenester uten å måtte administrere nøklene selv.
• Integrasjon med IAM: KMS kan integreres med AWS Identity and Access Management (IAM), slik at man kan styre hvem som har tilgang til nøklene og hva de kan gjøre med dem.
• Logging og overvåking: KMS gir mulighet til å logge operasjoner som utføres med nøklene til kunden, slik at man kan overvåke og spore aktiviteter knyttet til kryptering og dekryptering.
• Regionsspesifikke nøkler: Man kan opprette nøkler som er begrenset til en bestemt AWS-region for å møte krav til datalokalitet og etterlevelse av forskrifter.
• Kundeadministrerte nøkler (CMK) og AWS-administrerte nøkler (AMK): Kundene kan velge om de vil bruke kundeadministrerte nøkler (der kunden har full kontroll) eller AWS-administrerte nøkler (der AWS administrerer nøklene for kunden). Sikt har valgt å bruke kundeadministrerte nøkler.

AWS KMS er en viktig tjeneste for å sikre data i AWS-miljøet og hjelper Sikt med å oppfylle krav knyttet til personvern.

Følgende uttalelse fremgår i tillegg på AWS sine nettsider: “AWS asserts as a fundamental security principle that there is no human interaction with plaintext cryptographic key material of any type in any AWS service. There is no mechanism for anyone, including AWS service operators, to view, access, or export plaintext key material. This principle applies even during catastrophic failures and disaster recovery events. Plaintext customer key material in AWS KMS is used for cryptographic operations within AWS KMS FIPS validated HSMs only in response to authorized requests made to the service by the customer or their delegate.”

Kort oppsummert innebærer dette at alt som Sikt overfører til AWS er kryptert med løsningen med krypteringsnøkkel som er levert av AWS KMS. Sikt bruker kundeadministrerte nøkler. Det er kun Sikt som sitter på kontrollen over nøkkelen og når den ikke brukes oppbevares det innen HSM for sikker oppbevaring. Sikt benytter seg av single-region keys og Platonteamet har lagt inn en teknisk sperre slik at det ikke er teknisk mulig for de ulike teamene i Sikt som benytter AWS å opprette en multi-region key.

AWS IAM

Løsningene som Sikt har valgt knyttet til AWS inneholder også en IAM løsning. Kort fortalt gis Sikt omfattende IAM-verktøy som lar oss kontrollere hvem som har tilgang til våre AWS-ressurser. Dette innebærer funksjoner for tildeling av roller og tilgangstillatelser for slik å kunne sikre effektiv styring på akkurat hvem som har tilgang.

AWS IAM står for "Identity and Access Management" i Amazon Web Services (AWS). Det er en tjeneste som lar kunden administrere brukeridentiteter og tilgangsrettigheter i AWS-miljøet. Her er noen av hovedfunksjonene og formålene med AWS IAM:

• Brukeradministrasjon: Du kan opprette og administrere brukerkontoer for personer eller tjenester som trenger tilgang til AWS-ressurser. Dette gjør det mulig å gi hver person eller tjeneste sine egne sikkerhetslegitimasjoner.
• Tilgangskontroll: Med IAM kan du definere nøyaktig hvilke AWS-ressurser, brukere og tjenester har tillatelse til å aksessere, samt hva de kan gjøre med disse ressursene.
• Policies: IAM bruker policyer for å kontrollere tilgangen. Man kan opprette egendefinerte policyer som angir hvilke handlinger brukere eller roller kan utføre på ressurser. AWS gir også ferdige policyer som man kan tilpasse.
• Rollebasert tilgang: Man kan definere roller i IAM og tildele midlertidige sikkerhetslegitimasjoner til disse rollene. Dette er spesielt nyttig for midlertidig tilgang for tjenester eller brukere som trenger ressurser i kortere perioder.
• Multifaktorautentisering (MFA): Man kan aktivere MFA for brukere for å legge til et ekstra lag med sikkerhet. Dette krever at brukerne verifiserer sin identitet ved hjelp av en ekstra autentiseringsfaktor, for eksempel en mobilapp eller en sikkerhetsnøkkel.
• Audsitlogging: AWS IAM gir også muligheten til å aktivere logging av tilgangsaktiviteter. Dette lar kunden spore hvem som har gjort hva i AWS-miljøet sitt for sikkerhets- og revisjonsformål.

AWS Cloud Trail

Dette er en sikkerhets-løsning som innebærer overvåkning og logging av hendelser og ressursbruk. Dette bidrar til at Sikt kan oppdage og reagere på unormale hendelser.

CloudTrail er en tjeneste som gir sporings- og overvåkingsfunksjonalitet for AWS-kontoer. Den registrerer og lagrer logger for hendelser og handlinger som utføres innenfor AWS-infrastruktur, og gir oss innsikt i hvem som gjorde hva, når det skjedde, og fra hvor det ble gjort. Ved å bruke AWS CloudTrail, får man bedre innsikt i aktiviteter i AWS-kontoene våre, forbedrer sikkerheten, og oppfyller eventuelle etterforsknings- og overholdelseskrav som kan gjelde for Sikt.

AWS GuardDuty

Sikt bruker AWS GuardDuty. Dette er en kontinuerlig sikkerhetsovervåkingstjeneste. Den analyserer og behandler AWS CloudTrail-administrasjonshendelseslogger, VPC Flow-logger, CloudTrail S3-datahendelseslogger og DNS-logger. AWS GuardDuty analyserer kontinuerlig S3-datahendelser, overvåker tilgang og aktivitet i alle Amazon S3-bøttene dine, VPC-flytlogger og DNS-spørringslogger.

Gjennom kontinuerlig overvåking kan den oppdage skadelig aktivitet og uautorisert atferd, og dermed beskytte AWS-kontoer og workloads.

Vedrørende sperrer for bruk av tjenester i andre regioner enn de valgte:

Det er ulike tjenester/services hos AWS som overfører «Costumer Data» ut av en valgt region. Det første er opt-out services: “The following AWS services transfer customer data to develop and improve those services, and you can opt out of that transfer.

• Amazon CodeGuru Profiler
• Amazon Comprehend
• Amazon Connect Customer Profiles
• Amazon Connect Forecasting, Capacity Planning, and Scheduling
• Amazon Connect outbound campaigns
• Amazon Connect Wisdom
• Amazon Fraud Detector
• Amazon GuardDuty*
• Amazon Lex
• Amazon Polly
• Amazon Rekognition
• Amazon Textract
• Amazon Transcribe
• Amazon Translate
• Contact Lens for Amazon Connect
• Quicksight Q for Amazon Quicksight

Dette er i utgangspunktet tjenester som man må opt-out på, altså at man aktivt må velge den bort. Dette er imidlertid løst med at Platon-teamet har lagt inn sperrer for nye tjenester i andre regioner. Vi forstår det videre slik at dersom selve tjenesten opprinnelig ligger i en godkjent region vil den ikke kunne overføre «Costumer Data» ut av denne regionen «to develop and improve those services» på bakgrunn av at den tekniske sperren også stenger for en slik overføring. Dersom AWS lanserer en ny tjeneste så er denne tilgjengelig for Sikt med en gang, men kun i godkjente EU-regioner. Platon må aktivt åpne opp for andre regioner. Platon har videre lagt inn følgende opt-out policy vedrørende AI hos AWS: "Opt out of all AI services for all accounts in the organization". Dette skal gjelde både nåværende og ev. nye tjenester som AWS lanserer.

I tillegg har man andre tjenester som AWS tilbyr som vil innebære en overføring: “AWS services that transfer customer data as an essential function of the service The following AWS services transfer customer data as an essential function of the service. For example, if you choose to send messages via Amazon Simple Notification Service, the content of those messages will transfer to the location of the recipients.

• Amazon AppStream 2.0 User Pool
• Amazon Chime
• Amazon CloudFront
• AWS IAM Identity Center

• In certain circumstances, AWS IAM Identity Center uses Amazon Simple Email Service (Amazon SES) to send user emails. If Amazon SES is not available in Region, IAM Identity Center calls Amazon SES’ endpoints in a different AWS Region. More information can be found here.
  • Amazon Interactive Video Service (IVS)
  • Amazon Location Service
  • Amazon Pinpoint
  • Amazon Simple Email Service
  • Amazon Simple Notification Service
  • Amazon WorkMail
  • AWS Elemental MediaConnect
  • AWS IoT Core
• To the extent you use the IoT Core for Amazon Sidewalk feature, or the Device Location feature supported by HERE is enabled.” Dette er tjenester som AWS mener at tjenesten i seg selv er laget for å sende data, og Sikt som AWS kunde kan velge om vi vil sende data fra disse tjenestene til andre steder.

Aktuelle tjenester for Sikt er:

• Amazon CloudFront
• AWS IAM Identity Center* (kun aktuell for Platon)
• Amazon Simple Email Service
• Amazon Simple Notification Service Se egen redegjørelse for tjenester vi bruker som overfører. Ut over dette så er det ikke valgt noen og de regions spesifikke sperrene Sikt har lagt inn gjelder også her.

Vår vurdering

Vår vurdering er at de samlede tekniske løsningene som skisseres ovenfor innebærer at AWS ikke har tilgang til Sikt sine persondata i klartekst med de tekniske løsningene og avtalene som er på plass per nå. Bruken av AWS Nitro innebærer at AWS-ansatte «by design» ikke har noen mulighet til å se kundenes (altså Sikt) sine data, herunder personopplysninger med de løsningene som er på plass på nåværende tidspunkt. Det er ingen mekanismer for systemer eller personer for å logge seg inn på en EC2 Nitro Host. Dersom en AWS-ansatt, inkludert de med mest tilganger behøver å gjøre vedlikeholdsarbeid på en EC2-server kan de bare bruke et begrenset sett med administrative API2. Ingen av disse APIene gir den ansatte mulighet til å få tilgang til kundenes data på en EC2-server. Dette er tekniske begrensninger som er bygget inn i selve Nitro-systemet, det er ingen AWS-ansatt som kan komme forbi denne beskyttelsen med de tekniske løsningene som er på plass på nåværende tidspunkt.

Videre benytter Sikt seg av AWS KMS og kundeadministrert nøkkelhåndtering som skissert ovenfor, noe som innebærer bruk av krypteringsnøkkel, og som gir Sikt kontroll over disse nøklene, og bruken av nøklene. Nøkkelmaterialet er kryptert når det er generert i HSM, og når det dekrypteres er det kun innenfor «HSM Volatile Memory», og det dekrypteres kun i de millisekundene det er nødvendig for å utføre en dekrypterings-operasjon. Når nøkkelmaterialet ikke er aktivt i bruk er det kryptert innenfor HSM-systemet og overført til lagring hvor det oppbevares separat og isolert fra HSM. Klartekst nøkkelmateriale forlater aldri sikkerhetsgrensen til HSM, det skrives aldri over til disk eller overføres til noen form for lagring.

Videre bruker Sikt single-region keys, og det er lagt inn sperre for å bruke multi-region keys, altså nøkler som kan brukes i flere regioner. Disse nøklene kan ikke overføres ut av AWS-regionen de er laget i, og kan bare bli brukt i den regionen de tilhører. Kort oppsummert kan nøklene altså bare brukes i den spesifikke regionen de tilhører, og kan ikke brukes i andre regioner for å dekryptere dataen.

Kort oppsummert innebærer dette at AWS sine ansatte ikke vil kunne se data i klartekst eller dekryptere dem fordi nøkkelløsningen innebærer at det er Sikt som sitter på koden til nøkkelen og som dermed kan dekryptere data. I tillegg spiller de andre nevnte tekniske løsningene inn for å sikre data/persondata hos Sikt.

Juridiske følger av tekniske tiltak

På bakgrunn av de tekniske tiltakene som er beskrevet ovenfor er utgangspunktet at det ikke skal skje noen overføring av personopplysninger til tredjeland ved vårt bruk av AWS. Opplysningene som behandles av AWS på vegne av Sikt skal lagres i EØS, og utgangspunktet blir dermed at all behandling skal skje i EØS.

Når det skal behandles personopplysninger i EØS, eller et adekvat tredjeland, eksempelvis hvis man har valg å bruke en skytjeneste med lokasjon i EØS, er det et utgangspunkt at man ikke behøver å forholde seg til reglene om overføring av personopplysninger til tredjeland. Dette utgangspunktet vil også gjelde for Sikt ved vår bruk av AWS.

Det er avtalt med AWS at data kun skal lagres på servere innad i EØS. Det er foretatt et valg om at utgangspunktet er at lagringen skal skje i Stockholm, med mulighet for back-up i Frankfurt og Dublin. AWS er imidlertid amerikanskeid, med morselskap i USA, og på bakgrunn av klausuler i databehandleravtalen om utlevering av opplysninger ved juridisk bindende pålegg er vi forpliktet til å foreta en grundig analyse av muligheten for at det kan skje en overføring til tredjeland.

Datatilsynet legger på sine nettsider opp til en firetrinns vurdering av om overføring likevel kan skje i slike tilfeller.

• Overføring av personopplysninger ut av EØS | Datatilsynet

Steg 1:

I det første steget må man vurdere om en overføring av personopplysninger kan skje selv om dataene skal behandles i EØS, eksempler på slike tilfeller kan være:

• Dersom support kan ytes av supportpersonell i et ikke-adekvat tredjeland, for eksempel til visse tider av døgnet, eller i tilfelle krisgjenoppretting. Tilgang til personopplysninger og fjernaksess regnes også som en overføring til det aktuelle landet.
• Dersom tjenesteavtalen tar forbehold om at personopplysninger kan utleveres til myndighetene i et ikke-adekvat tredjeland.
• Dersom leverandøren er underlagt juridiske forpliktelser i et ikke-adekvat tredjeland kan innebære krav om utlevering av personopplysninger.

AWS har formuleringer i DBA om utlevering av personopplysninger ved juridisk bindende pålegg, samt formuleringer med forbehold om bytte av lokasjon ved juridisk bindende pålegg, se vurdering av avtaleverket for nærmere omtale av dette. Sikt må derfor vurdere de neste stegene i prosessen.

Steg 2: vurdere hvem som blir behandlingsansvarlig for den potensielle overføringen.

Steg 3: vurdere hvilke tiltak som kan iverksettes for å forhindre en potensiell utlevering.

Steg 4: vurdere hva som er avtalt

Vurderingen av hva som er avtalt, altså steg 4 vurderes i samme steg som hvilke tiltak som iverksettes.

Steg 2:

Her har Sikt vurdert at det er AWS blir behandlingsansvarlig for en eventuell overføring. Bakgrunnen for dette er at AWS tar et generelt forbehold om utlevering til myndigheter ved et juridisk bindende pålegg i sin databehandleravtale.

Den potensielle overføringen det kan være snakk om i dette tilfellet er dermed en overføring som skjer for at AWS skal oppfylle sine juridiske forpliktelser. I et slikt tilfelle er det mest nærliggende å anta at AWS vil være behandlingsansvarlig for overføringen.

Når vi velger å benytte denne leverandøren, og med dette gi AWS tilgang til personopplysninger som potensielt kan utleveres blir det likevel vårt ansvar å sørge for at vår leverandør oppstiller tilstrekkelige garantier for at behandling av personopplysninger vil skje i tråd med personvernforordningen. Videre er det også vårt ansvar å påse at vi har lovlig grunnlag til å utlevere opplysningene til leverandøren, som ny behandlingsansvarlig, dersom vi vurderer at dette kan skje.

For å utlevere personopplysninger til en ny behandlingsansvarlig kreves et gyldig behandlingsgrunnlag. Derfor kan man bare inngå avtalen i den grad man har identifisert et passende behandlingsgrunnlag for utlevering av personopplysningene til ny behandlingsansvarlig. Vi har ikke klart å identifisere et slikt behandlingsgrunnlag. Vi vurderer dermed at det eneste alternativet er om man rent teknisk klarer å forhindre at AWS overfører og utleverer opplysningene.

Steg 3: I dette steget må Sikt vurdere hvilke tiltak som kan iverksettes for å forhindre en slik utlevering, og dermed overføring.

Vi viser til beskrivelsen nevnt ovenfor, som beskriver hvilke tekniske tiltak som er på plass for å forhindre at AWS sine ansatte har tilgang til data/personopplysninger, og dermed i praksis stenger for muligheten for denne utleveringen og overføringen. Her viser vi til både krypteringsløsningene og nøkkelhåndteringen som er på plass for samlet å kunne sikre alle personopplysningene Sikt fører inn i AWS sin skyløsning.

Vi har videre fått skriftlig bekreftelse fra AWS på at ansatte ikke har tilgang til «costumer content» som er den typen data der personopplysningene til de registrerte vil befinne seg (se dog egen vurdering av behandlingen av kontaktopplysninger for Sikt ansatte for å kunne administrere tjenesten, som faller utenfor denne vurderingen), når Sikt benytter kundestyrt kryptering og den nøkkelhåndteringen som beskrevet ovenfor.

Samlet sett vurderer vi at de tekniske tiltakene som er på plass innebærer at AWS ikke vil være i stand til å faktisk utlevere personopplysningene som Sikt legger inn, dersom de skulle motta et juridisk bindende pålegg om dette. Vi viser særlig til krypteringsløsningen, at krypteringsnøkkelen er kundestyrt, altså kontrollert av Sikt, samt at vi har valgt single-region key som ikke kan brukes i andre regioner enn den valgte. På bakgrunn av dette vurderer vi at AWS kan benyttes, selv om de i sin DBA åpner opp for utlevering til myndigheter i tredjeland dersom de skulle motta et juridisk bindende pålegg om dette.

Vi viser avslutningsvis til at AWS i sin DBA og addendum til DBA forplikter seg til å varsle Sikt ved et mulig pålegg om utlevering, dersom de har mulighet til det juridisk sett, og at de skal motsette seg et eventuelt pålegg med alle rimelige midler, vi tillegger imidlertid ikke dette avgjørende vekt i vurderingen. Det er de tekniske tiltakene som forhindrer en overføring som innebærer at vi kan benytte AWS som leverandør.

Kilder

• The Security Design of the AWS Nitro System - The Security Design of the AWS Nitro System (amazon.com)
• No AWS operator access - The Security Design of the AWS Nitro System (amazon.com)
• Data protection in AWS Key Management Service - AWS Key Management Service (amazon.com)
• Privacy Features of AWS Services (amazon.com)
• Features | AWS Key Management Service (KMS) | Amazon Web Services (AWS)